Hola, ¿qué tal? Bienvenida o bienvenido a este entrenamiento Aruba Networking Security Essentials. Mi nombre es Ricardo Cobos y estoy por comenzar el laboratorio número tres, que trata del endurecimiento del plano de gestión y control de los equipos de movilidad, que incluyen el Mobility Controller y el Acces Point. El laboratorio, la demostración tiene tres tareas. En la primera, instalaré certificados digitales en el Mobility Controller empezando por el certificado digital de la autoridad certificadora raÃz, y después un certificado digital junto con su llave privada, que fueron generados exclusivamente para el Mobility Controller. La idea de esto es poder acceder a la gestión del Mobility Controller sin recibir warnings en el navegador. Después me moveré a la parte de autenticación con servidores externos, voy a configurarlos en el servidor de TACACS para que cada vez que un administrador intente loguearse en el Mobility Controller con credenciales que se encuentren en la base de datos de ClearPass, entonces el Mobility Controller recibe la solicitud de autenticación y la envÃa vÃa TACACS a este servidor para que él valide las credenciales y, posteriormente a eso, reciba el nivel de privilegio correcto, el nivel de de administrador correcto, para que el usuario o el operador pueda realizar sus tareas. Y, finalmente, voy a terminar el laboratorio utilizando o habilitando Control Play Security para comenzar a aceptar de manera segura a los Access Point en el Mobility Controller. En esa tarea en especÃfico, mostraré cuál es la configuración por defecto del Mobility Controller relacionada con Control Play Security, lo cual evitará que cualquier Access Point que no se encuentra en una lista de acceso llamada whitelist o allowlist, puedan ser aceptados. Posterior a eso, añadiré la dirección Mac del puerto Ethernet de este Access Point en dicha lista, y veremos cómo entonces el Mobility Controller va a aceptar al Access Point. Esto no es solamente para realizar autenticación a los Acces Point, sino para también generar un túnel de cifrado que será utilizado en el plano de control entre el Mobility Controller y el Access Point. Sin más, voy a comenzar. En el ambiente de laboratorio, aquà yo tengo un Mobility Controller, esta es la dirección de gestión, la 10.1.130.100, y este es el Access Point que eventualmente se asociará a ese Mobility Controller. Para poder acceder a la gestión del Mobility Controller yo lo podrÃa hacer de dos maneras, a través de CLI o a través de UI, lo haré en la segunda porque es la manera más común de gestionar estos equipos, y esa conexión la voy a realizar desde el Wired Management. Aquà ya tengo este equipo, la sesión o el escritorio de esta estación de trabajo para gestionar los Mobility Controllers y accederé a la interfaz web del Mobility Controller. Esta es la mc13, punto training, punto Aruba Networks punto com. Ese realmente [inaudible] por el cual, el computador realizará una resolución de DNS y obtendrá como resultado la dirección IP del Mobility Controller que es la 10.1.130.100. Sin embargo, podemos ver, en primera instancia, que el navegador me está mostrando un warning. La razón es porque estoy realizando una conexión de HTTPS y el certificado digital que el Mobility Controller le está presentando al navegador, no es un certificado digital en el cual él implÃcitamente confÃe, y esto se debe a que el certificado digital, si nosotros vamos a la parte de avanzados y viéramos los detalles de este certificado digital, podemos ver que es realmente un certificado autofirmado, es un certificado generado por el controlador mismo, y aquà tiene la fecha de validez, y abajo tiene el certificado mismo. La realidad es que este es un certificado autofirmado y esto es lo que voy precisamente a corregir, voy a cambiar ese certificado por un certificado que ya generé para ese Mobility Controller en mi autoridad certificadora de laboratorio. Entonces para poder entrar voy a proceder a la conexión, aún cuando sea considerada insegura, doy clic en el enlace y finalmente me presenta la UI. Me voy a loguear en este equipo, voy a registrarme con las credenciales de administrador y ya en la web UI, en la interfaz web, voy a moverme para la configuración del Mobility Controller, sistema, del lado izquierdo, y a la parte de certificados. Aquà en certificados es donde yo puedo instalar certificados que ya se hayan generado con antelación, puedo importar certificados de autoridades certificadoras, certificados para la interfaz de gestión, certificados para el portal cautivo, certificados para E-termination y otras funciones. Entonces, también en esa parte es donde se generó el Certificate Signing Request, prácticamente yo tuve que generar un Certificate Signing Request y enviarlo a la autora de certificadora, la cual me regresó el certificado digital para este controlador. En este caso, lo que haré es importar el certificado, pero primero necesito decirle al Mobility Controller que confÃe en aquella autoridad que generó su propio certificado. Esto quiere decir que tengo que instalar el certificado de la autoridad certificadora. Aquà le voy a poner un nombre al certificado, le voy a poner Aruba CA. De hecho le voy a poner ArubaTrustedCA, todo junto, voy a buscar por el certificado, y en la parte de escritorio, mi Folder de herramientas, aquà tengo el ArubaTrainingCA, lo voy a abrir y este va a ser un archivo PEM, y en Certificate type seleccionaré TrustedCA. Le daré submit, y aquà ya tengo el certificado digital de la autoridad instalado en el Trusted Store del Mobility Controller. De la misma manera, instalaré su propio certificado. Le voy a dar clic otra vez al sÃmbolo de más, y aquà pondré MCCertificate, puedo colocar Browse. En ese caso, yo tengo ya la generación del certificado, tengo el certificado del Mobility Controller y también su llave privada. Los dos fueron combinados en este archivo que tengo aquÃ, mc punto pfx y puedo abrirlo colocando un passphrase que definà cuando generé este archivo. En Certificate format utilizaré PFX, y en Certificate type seleccionaré server ServerCert. Submit, y aquà lo tengo MCCert, ServerCert, mc punto pfx. Después de hacer esto, me moveré a la parte de administración, y especÃficamente en Admin Authentication Options, en la parte de de abajo, tengo Server Certificate, qué certificado quiero utilizar para acceder a la interfaz web de administración del Mobility Controller. No quiero utilizar el certificado autofirmado que viene por defecto, sino el que acabo de subir. Ese es el que voy a seleccionar, submit, y aplicaré los cambios. Ahora, voy a cerrar mi navegador para probar que pueda yo realizar una conexión y que esa conexión de HTTPS ahora sea de confianza. Entonces, mc13 punto training punto arubanetworks punto com, doy enter y ya me está mostrando la interfaz de gestión sin ningún warning de certificado. Me voy a logear, como lo estuve haciendo anteriormente, admin, admin uno y, efectivamente, ya estoy dentro de el móvil de control. Perfecto, con esto, yo ya tengo una certeza de que cada vez que yo entre a la gestión del equipo, ningún warning se le debe presentar a mi navegador. Cabe mencionar, y eso es muy importante, que el navegador y en esencia, este equipo de Windows ya confÃa implÃcitamente en la misma autoridad que firmó el certificado del controlador. Voy a proceder ahora a configurar TACACS en este móvil el control. Para eso, me moveré a la parte de configuración, autenticación y "authentication servers". Crearé un nuevo "Server Group", en este caso, un especÃfico para la gestión, voy a colocar con el nombre Management, "submit", y dentro de él puedo ver que no hay ningún servidor de autenticación, por lo que añadiré uno, y en este caso, servidor de autenticación, le daré un nombre, que va a ser ClearPass, que vale la pena mencionarlo, lo que configuré en ese móvil de control es un servidor de TACACS, tal como lo hice en los switches, el cual va a ser el servidor ClearPass, de modo que cada vez que desde el equipo de gestión yo acceda a la web de este móvil de controller y me logue o coloque credenciales, estas credenciales van a ser enviadas a ClearPass y ClearPass retornará o enviará de regreso una respuesta "accept or reject " y, si es "accept", también entregará ciertos atributos que corresponden a los niveles de privilegio de las cuentas de administración del móvil de controller, en este caso, aquà voy a colocar entonces el nombre del servidor. Lo importante, más que nada, es la dirección IP del mismo, en este caso, 10.254.1.23, y el tipo de servidor que será TACACS. Voy a salvar, sin embargo, no he terminado porque en ningún momento se me pidió una "presure key", por lo cual tengo que seleccionar ese servidor nuevamente y ya en la forma que me presenta, debo especificar la llave, esta llave o esta "presure key", por defecto, el valor que tiene es "change me" en inglés, cámbiame. Sin embargo, lo cambiaré por la llave correcta, perfecto. Y es muy importante seleccionar esta opción "session authorization". Esto es para poder aceptar o para permitir el móvil del controller, que acepten los atributos que en el servidor de TACACS, en ese caso, ClearPass, le está enviando. Voy a salvar, perfecto, y aplicaré mis cambios. Perfecto. Ahora, lo que sigue será decirle, al móvil de controller, que cada vez que alguien se intenta loguear en su interfaz de gestión, él envÃe un "authentication request" al servidor de TACACS. Para poder hacer esto, me voy a la parte del sistema, "admin", y aquà me voy en el segundo panel, "admin authentication options"; en esta parte, habilitaré la autenticación remota y le diré que utilice a los servidores que se encuentren dentro del server group, con nombre Management. Otra parte que es importante de él, es el rol por defecto que le asignará al operador de administración, en caso de que no reciba un nivel de privilegio especÃfico desde el servidor de autenticación. En otras palabras, el servidor de autenticación dice que los credenciales son correctas pero no especifica un nivel de privilegio. Entonces, el Mobility controller, dará el nivel de root, que es el máximo nivel, lo cual podrÃa ser considerado peligroso. Esto serÃa muy recomendable reducir a otro nivel con menos privilegios, por ejemplo, "read only" o "guest provisioning". Voy a utilizar el segundo y voy a aplicar la configuración. Perfecto. Ahora, lo que haré será salirme de esta gestión e intentar una autenticación utilizando la cuenta que se encuentra en ClearPass, "Network admin", "login", lo que estoy viendo es que la autenticación fue satisfactoria, de hecho, aquà ya tengo la cuenta con la cual yo me logue y podrÃa validar este intento de autenticación en ClearPass. SÃ, yo accedo a ClearPass, en la parte de "Monitoring Access Tracker" puedo ver este intento de autenticación network admin 13, si accedo a él, veo que viene desde el Mobility controller, realmente es una autenticación que viene desde este M-C. Y en polÃticas, veo que ClearPass, está corriendo el Enforcement profile ArubaOS Wireless TACACS Root Access, lo cual me está dando mi máximo privilegio dentro del controlador, lo cual me permite realmente tener control total de la gestión de este Mobility controller, con esta cuenta centralizada que existe solamente en el servidor de ClearPass. Perfecto. La siguiente tarea que realizaré en este laboratorio, la tarea número tres, es habilitar "Control Play Security", y tener certeza de que solamente los "access point" autorizados están logrando una conexión con el Mobility controller. AquÃ, de hecho, yo puedo ver que un access point, que se encuentra en estatus rojo y me comenta que el status es "down". La realidad es que este "access point" ya está hablando con el Mobility controller, sin embargo, el Mobility controller lo está rechazando, podrÃa, yo, validar eso, si accedo al CLI del Mobility controller. Perfecto. Si realizo un "show ap database", lo que estoy viendo es que este "access point" se encuentra realmente denegado, aquà estáa. El "access point" está hablando con el controller, pero el controller lo está rechazando. Entonces, lo que haré será aprobar a este "access point", en el Mobility controller me iré a la parte de configuración, "access points" y aquà tengo en la parte de "Whitelist" al "access point" que no estoy aceptando, de hecho, si verificó cuál es la dirección MAC del "access point", termina con 74 a2, d7:74:a2 y es prácticamente la misma dirección que tengo acá, d7:74:a2, lo seleccionó y, en ese caso lo voy a aprobar, lo cual ya nada más requiere unos cuantos momentos para que el "access point" reinicie, contacte al Mobility controller, este lo acepte y establezcan el túnel seguro del plan de control. Este proceso toma algunos minutos, por lo cual pausaré la grabación y la reiniciaré un poco más adelante. Muy bien, después de esperar unos momentos, ya veo que el "access point" se encuentra arriba y prácticamente, esa conexión segura entre los dos, el Mobilily controller y el "access point" ya se estableció. Para subsecuentes "access point" que quieran también ser aprobados por Mobility controller, la misma tarea va a tener que ser realizada, seleccionar los "access points", aprobados manualmente o, en su defecto, también se puede importar una lista de direcciones MAC de esos "access points" en el "Whitelist", o la tercera opción podrÃa ser también habilitar una función llamada "auto service provisioning", que le permite al Mobility controller aprobar automáticamente a todos los "access points" que lo contacten. Esto, normalmente, solo se recomienda cuando tienes un control total de los "access points" que se encuentran controlados en una red, y una vez que esos "access points" fueron automáticamente aprobados y autorizados, entonces, esa funcionalidad deberÃa ser deshabilitada. Espero que hayas disfrutado el video. Te veo en el siguiente.
